Les règles de RGPD

Depuis l'introduction du Règlement général sur la Protection des Données (RGPD) le 25 mai 2018, il est judicieux de se familiariser avec les règles d'utilisation des données. Le traitement des données personnelles est autorisé, à condition que vous respectiez ces règles. Mais comment fonctionne le RGPD ? Qu'entend-on par données à caractère personnel et qu'entend-on exactement par traitement ?

Nous aimerions vous informer de l'état actuel des choses. Bien sûr, nous ne sommes pas avocats et serions heureux de vous donner notre interprétation. La responsabilité du traitement correct des données personnelles incombe, bien entendu, à chaque organisation responsable du traitement. Gardez donc un œil sur les développements dans le domaine de la protection de la vie privée. Vous vous demandez comment Ad Hoc Data traite la confidentialité ? Veuillez lire notre déclaration de confidentialité.

Avez-vous des questions ? contactez-nous, nous serons heureux de vous aider.

général

Que signifie RGPD ?

Le Règlement général sur la Protection des Données (RGPD), également connu sous le GDPR (General Data Protection Regulation en anglais) est une loi sur la vie privée qui s'applique dans toute l'Union européenne. Grâce au RGPD, la protection des données personnelles est réglementée de la même manière dans tous les pays de l'UE et les mêmes règles s'appliquent dans chaque État membre. Le RGPD renforcera et élargira, entre autres choses, les droits à la vie privée des personnes concernées, ce qui accroîtra les responsabilités des organisations.

Que signifie '"données personnelles" ?

Les données personnelles font référence à toutes les informations concernant une personne physique identifiée ou identifiable. Cela signifie que l'information passe directement sur quelqu'un ou peut être retracée jusqu'à cette personne. Exemples : données d'adresse, numéros de téléphone directs, adresses e-mail personnelles, adresses IP, photos, etc. Cela inclut également la définition des "données personnelles spéciales". Ces données personnelles, telles que les préférences politiques, la religion, la santé et la race, sont particulièrement bien protégées ; leur traitement est interdit.

Qu'entend-on par "traitement de données à caractère personnel" ?

Le terme "traitement" est un terme large et couvre toutes les actions qu'une organisation peut effectuer avec des données à caractère personnel. Exemples : collecte, enregistrement, organisation, structuration, stockage, mise à jour ou modification, récupération, consultation, utilisation, transmission, distribution, mise à disposition, assemblage, liaison, blocage, effacement et destruction de données.

Le RGPD s'applique-t-il à mon organisation ?

Lorsque vous traitez des données à caractère personnel, vous devez vous conformer au RGPD. En fait, c'est le cas pour presque toutes les organisations, qu'il s'agisse des données des clients, prospects, employés ou candidats, il s'agit bientôt de stocker et de traiter des données personnelles.

Quand suis-je responsable du traitement ?

Vous êtes responsable du traitement des données lorsque vous déterminez les finalités et les moyens d'utilisation des données personnelles. Une organisation peut le faire seule ou éventuellement en collaboration avec un " transformateur ". Qu'il s'agisse de clients, de prospects, d'employés ou de candidats, vous serez bientôt occupé à traiter des données personnelles et vous êtes donc responsable du traitement.

Quand suis-je sous-traitant ?

Vous êtes un sous-traitant lorsque vous êtes l'organisation à laquelle le responsable du traitement des données a sous-traité le traitement des données. Pensez par exemple aux bureaux administratifs, aux fournisseurs de logiciels, aux centres d'appels, aux fournisseurs de cloud computing, etc. Le responsable du traitement est tenu de conclure un contrat de traitement avec le(s) sous-traitant(s).

Quel est le rôle de l'autorité de protection des données ?

L'Autorité de Protection des Données (APD) est l'organe administratif indépendant désigné par la loi en Belgique pour superviser le traitement des données personnelles dans le cadre de la réglementation relative à la vie privée. Les tâches de l’APD sont les suivantes: supervision, conseil, information, information & responsabilité et tâches internationales.

Quels sont les principes du traitement des données personnelles?

Le RGPD a 6 principes pour le traitement des données personnelles:

le consentement de la personne concernée au traitement des données;
le traitement des données est nécessaire à l'exécution d'un contrat;
le traitement des données est nécessaire à l'exécution d'une obligation légale;
le traitement des données est nécessaire à la protection des intérêts vitaux;
le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique;
le traitement des données est nécessaire à la protection d'intérêts légitimes.

Quels sont les droits des personnes concernées dans le cadre du RGPD?

Le RGPD détermine les droits suivants des personnes concernées:

Information: le droit de savoir ce que vous faites des données personnelles des personnes concernées.
Accès: dans lequel les données personnelles sont traitées.
Correction: des données personnelles.
Retrait: des données personnelles de notre base de données (aussi appelé : le droit d'oublier).
Limitation: du traitement des données personnelles.
Objection: contre le traitement des données personnelles.
Transfert: le droit de transférer des données personnelles à une autre organisation.
Pas de profilage: le droit de s'opposer au profilage. Le profilage est toute forme de traitement automatisé de données à caractère personnel dans le cadre duquel certains aspects de la personnalité d'une personne physique sont évalués sur la base de données à caractère personnel, notamment en vue d'analyser ou de prévoir les performances professionnelles, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu ou les déplacements.

Combien de temps puis-je conserver des données personnelles?

Le RGPD ne prévoit pas de période de conservation concrète pour les données personnelles. C'est donc vous qui décidez de la durée de conservation de vos données personnelles. Il est toutefois important que vous ne conserviez pas ces données plus longtemps que nécessaire aux fins pour lesquelles elles ont été recueillies et utilisées. Il est bon d'inscrire vos considérations dans le registre de traitement.

des mesures

Comment mon organisation sera-t-elle à l'épreuve de la RGPD ?

Vous pouvez prendre les mesures techniques et organisationnelles suivantes pour vous conformer aux règles de confidentialité.

Élaborer une politique de protection de la vie privée: veiller à la minimisation des données, à la transparence, aux procédures pour assurer le trafic international des données.
Nomination d'un DPD: la nomination/acceptation d'un responsable interne lorsque vous traitez des données à grande échelle ou des données personnelles spéciales ;
Établissement du registre de traitement: enregistrement de tous les traitements de données à caractère personnel, y compris des informations sur la manière dont ils sont effectués, ainsi que sur les périodes de conservation et la manière dont vous garantissez les droits des personnes concernées à cet égard ;
Politique sur les fuites de données: déterminer les procédures à suivre en cas de fuites de données et tenir un rapport sur toutes les fuites de données (présumées), y compris les mesures prises ;
DPIA (le cas échéant): réalisation d'une évaluation de l'incidence sur la protection des données des nouvelles activités de traitement présentant un risque accru pour la vie privée.
Conclure des accords de transformation: avec tous les sous-traitants dans lesquels les responsabilités et les procédures des deux parties ont été convenues ;
Confidentialité par conception et par défaut: implémentez la protection des données via la conception et les paramètres par défaut des applications (web) ;
Mesures de sécurité techniques: par exemple pour créer des mots de passe, envoyer des fichiers en toute sécurité, sécuriser un site Web (vous pouvez également faire effectuer un piratage à titre de test) ;
Manuel interne: sensibilisation interne à la protection de la vie privée et mise en œuvre d'une méthode de travail conforme au manuel.

Quelles sont les conséquences si mon organisation n'est pas à l'épreuve du RGPD ?

Si une plainte est formulée à l'encontre de votre organisation, l'autorité de protection des données enquêtera sur vous. Et si cette enquête détermine que vous n'êtes pas suffisamment respectueux de la vie privée, votre amende peut s'élever à 4% de votre chiffre d'affaires annuel mondial avec un maximum de 20 millions d'euros.

Qu'est-ce qu'un DPD et quand ai-je besoin de cet agent ?

Un Délégué à la Protection des Données (DPD) est la personne au sein d'une organisation qui est responsable de la conformité et de l'application du RPDB. Il s'agit souvent d'une personne externe, généralement de formation juridique.

Pour certaines organisations, la nomination d'un DPD est obligatoire, étant donné le grand nombre de données à caractère personnel qui sont traitées ou lorsqu'il s'agit de données à caractère personnel spéciales. Ceci est également toujours obligatoire pour les gouvernements et les organisations publiques. Vous n'êtes pas certain d'être tenu de nommer un tel fonctionnaire, mais traitez-vous les renseignements personnels à une échelle raisonnable ? Alors il vaut mieux choisir de jouer sur le coffre-fort et nommer quelqu'un pour cela. Toujours informer le délégué à la protection des données auprès de l'autorité chargée de la protection des données.

Qu'est-ce qu'une fuite de données ? Et qu'est-ce que la notification obligatoire des fuites de données ?

Lorsque des données personnelles sont entre les mains de tiers qui ne devraient pas avoir accès à ces données, il y a une fuite de données. Il s'agit d'un incident au cours duquel des données personnelles sont perdues ou données, vues ou modifiées (peuvent être) non autorisées en raison d'un problème de sécurité. Il peut s'agir d'une fuite de fichiers informatiques, d'un courriel envoyé à une mauvaise adresse électronique, d'un ordinateur portable volé ou d'une clé USB perdue, d'une cyberattaque, etc. dans la mesure où des données personnelles sont concernées. Vous êtes tenu de signaler toutes les fuites de données à la GBA et à votre DPD et, si nécessaire, vous devez également informer la personne concernée (obligation de déclaration).

Qu'est-ce qu'une exigence documentaire ?

Les organisations sont tenues de démontrer par des documents qu'elles ont pris des mesures organisationnelles et techniques appropriées et efficaces pour mettre en œuvre les principes et obligations du RGPD. Vous devez, entre autres, consigner la manière dont vous effectuez quels traitements, sur quelle base et pendant combien de temps vous conservez les données à caractère personnel. Il s'agit d'un document crucial appelé registre de traitement.

Dois-je informer les personnes concernées des données que je recueille ?

Le RGPD indique que vous devez informer correctement les personnes concernées sur les données à caractère personnel qui sont traitées, à quelles fins et pour quels motifs. Par exemple, vous pouvez le faire dans une déclaration de confidentialité. Mais vous pouvez également informer les personnes concernées à d'autres moments, par exemple dans un module de commande en ligne.

Qu'est-ce qu'un DPIA ?

Un DPIA, Data Protection Impact Assessment, est une enquête sur les risques liés au traitement avant qu'il n'ait lieu. Dans certains cas, un tel examen peut être un instrument obligatoire, par exemple lorsque des données à caractère personnel sont traitées systématiquement et à grande échelle.

marché B2B

Le RGPD couvre-t-il également le marché B2B ?

Sur le marché des entreprises, il y a principalement des données commerciales. Celles-ci se situent à l'extérieur du RGPD, dans la mesure où elles ne peuvent pas être retracées jusqu'à une personne. Bien entendu, il peut être question d'un éventuel traitement des données à caractère personnel. Cela inclut les données personnelles des clients, clients potentiels et anciens clients. Cela inclut les données que vous stockez dans votre système CRM : adresses e-mail personnelles, numéros de téléphone directs, coordonnées bancaires, etc. Veuillez noter que vous n'incluez que les données nécessaires à l'exécution du contrat, ou que vous demandez l'autorisation ou avez un intérêt légitime dans le traitement. Par exemple, il n'est (très probablement) pas nécessaire d'inclure les passe-temps, les préférences ou la date de naissance de votre client commercial. Dans ce cas, vous devez omettre ces données.

Quel est l'impact du RGPD sur l'email marketing ?

Si vous utilisez l'e-mail marketing, vous devrez d'abord traiter de la législation opt-in (à l'avenir dans l'e-Privacy Act) concernant l'utilisation de ce canal. Elle stipule notamment que vous devez demander l'autorisation préalable du destinataire pour envoyer des e-mails s'il n'y a pas de relation client avec le destinataire et s'il ne s'est pas désisté. Sauf si vous utilisez une adresse e-mail générale, par exemple : info@..., ventes@... et ainsi de suite. En outre, vous utilisez généralement des données personnelles, telles que les adresses e-mail personnelles, les numéros de téléphone directs et d'autres données qui peuvent être personnelles. C'est la raison pour laquelle vous traitez avec le RGPD.

Quel est l'impact du RGPD sur le marketing social ?

Dans les campagnes de marketing sur les réseaux sociaux, il se peut que vous ayez à traiter avec le RGPD, dans la mesure où vous voulez faire correspondre des listes d'adresses e-mail avec votre campagne de réseaux sociaux. Le remarketing (l'affichage ciblé de publicités pour les personnes qui ont déjà visité votre site Web) est également inclus.

Quel est l'impact du RGPD sur le télémarketing ?

Si vous souhaitez contacter des personnes physiques par téléphone, vous devez tenir compte de la liste Do Not Call Me , également connue sous le nom 'Ne m'appelez Plus'. La liste Ne m'appelez Plus s'adresse aussi bien aux prospects qu'aux clients existants. En outre, vous traitez également ici avec le RGPD, dans la mesure où vous utilisez des numéros de téléphone directs, des contacts et d'autres informations de votre liste d'appels qui peuvent être considérées comme des données personnelles.

Qu'est-ce que la responsabilité de la chaîne ?

Lorsque des données à caractère personnel sont transférées d'un responsable du traitement à un autre, on parle de "responsabilité en chaîne". Votre responsabilité va donc au-delà de vos propres activités. Vous devez également vous efforcer d'assurer la protection des données en cas de transfert de données au sein de la chaîne.

De quoi dois-je tenir compte lorsque je vends en dehors de l'UE ?

Le RGPD couvre tous les pays de l'UE. Si vos produits ou services sont achetés hors de l'UE, les règles de confidentialité peuvent y être moins strictes. Ces pays dits "tiers" sont tous des pays extérieurs à l'UE, à l'exception des pays de l'Espace économique européen (EEE : Norvège, Liechtenstein et Islande). Vous ne pouvez vendre qu'à des pays disposant d'un niveau de protection approprié.